Я запускаю «tcpdump port 1025 -w out.pcap -s 4000», и все пакеты, отправленные с локального хоста, я вижу «XXX байтов в сети, 54 байта захвачено» (захвачены только заголовки Ethernet и TCP, данные не захвачены). Очевидно, что снаплен 4000, поэтому я не могу понять, почему пакет обрезан посередине. Я также написал программу, которая напрямую использует libpcap, и произошло то же самое. Это происходило как на libpcap 1.1.1, так и на 1.2.0rc1, однако на libpcap 0.9.8 это работало!
Я использую SLE10 с пакетом обновления 3 (SP3), и у меня есть другой компьютер с точно такой же ОС и установленными программами, где он отлично работает.
Вот пример захвата.
-s0
? - person Kerrek SB   schedule 06.09.2011